創建用戶、用戶組

創建用戶、用戶組

            

 

 

1解釋Linux的安全模型

 

2解釋用戶帳號和組群帳號的目的

 

3用戶和組管理命令

 

4理解并設置文件權限

5默認權限

6特殊權限

 

一：

介紹3A

資源分派：

Authentication：認證（確認身份）

Authorization：授權（給你權限不給你權限）

Accouting|Audition：審計（就是監控）

用戶user

管理員：root：ｕｉｄ：０

普通用戶：1-65535

Uid：

系統用戶：

centos6是1-499|centos7是1-999

對守護進程獲取資源進行，權限分配

系統自帶的，啟動系統是自啟

登錄用戶：centos6是從500+|centos7是1000+

組group

組名和GID

管理員：root：0

系統組：1-499|1-1000

普通組：500+|1000+

 

Linux組的類別：

用戶的主要組(主組)：

用戶必須屬于一個且只有一個主組

組名同用戶名，且僅包含一個用戶：私有組

用戶的附加組(輔助組)：

一個用戶可以屬于零個或多個輔助組

 

Linux：安全上下文

運行中的程序：進程(process)

以進程發起者的身份運行：

root: /bin/cat

hah: /bin/cat

進程所能夠訪問資源的權限取決于進程的運行者的身份

 

Linux用戶和組的主要配置文件：

/etc/passwd：用戶及其屬性信息(名稱、UID、主組ID等）

下圖所示：每一行都是一個用戶的信息

 

下圖的命令是專門改shell的

 

下圖當一個用戶，的shell改為nologin后，它將意味著不能登錄

 

 

只看一個用戶的信息

 

authconfig–passalgo=sha256 —update

可以更改加密類型

 

 

/etc/group：組及其屬性信息

 

群組名稱：就是群組名稱

群組密碼：通常不需要設定，密碼是被記錄在/etc/gshadow

GID：就是群組的ID

以當前組為附加組的用戶列表(分隔符為逗號)

 

Group可以查看用戶屬于哪個組

 

/etc/shadow：用戶密碼及其相關屬性

 

登錄用名

用戶密碼:一般用sha512加密

從1970年1月1日起到密碼最近一次被更改的時間

密碼再過幾天可以被變更（0表示隨時可被變更）

密碼再過幾天必須被變更（99999表示永不過期

密碼過期前幾天系統提醒用戶（默認為一周）

密碼過期幾天后帳號會被鎖定

從1970年1月1日算起，多少天后帳號失效。

 

只有root用戶可以查看，普通用戶看不了

 

密碼加密是$6,sha512加密

 

authconfig–passalgo=sha256 —update

可以更改加密類型

 

/etc/gshadow：組密碼及其相關屬性

 

 

群組名稱：就是群組名稱

群組密碼：

組管理員列表：組管理員的列表，更改組密碼和成員

以當前組為附加組的用戶列表：(分隔符為逗號)

文件操作

編輯文本建議用vipw和vigr

 

Pwck是檢查語法的

grpck是檢查group文件的

 

用戶的管理命令；

Useradd   usermod      userdel

組賬號的管理命令：

groupadd  groupmod   groupdel

創建用戶：

1.Useradd 加用戶名

 

創建默認是沒有口令的，！！表示禁止登陸

 

下圖的命令可以加！號，加了就不能登錄了

 

-ou 可以是幾個用戶的iD一樣

 

 

-g是創建主組 -G是創建輔助組的

 

-d指定用戶的家目錄放在什么位置

 

創建用戶目錄的模板文件夾、etc/skel

 

這個文件里定義了我們新創建用戶的定義屬性

 

-s SHELL: 指明用戶的默認shell程序

-c "COMMENT"：用戶的注釋信息

-N 不創建私用組做主組，使用users組做主組

-r: 創建系統用戶CentOS 6: ID<500，CentOS 7: ID<1000

2.Useradd -D -s /bin/chs (shell類型)是更改shell的

3.相關的的文件

/etc/default/useradd

/etc/skel/*

/etc/login.defs

 

一.

批量創建用戶:newusers

1用VI在一個文檔在里邊編輯跟/etc/passwd，一樣的格式

 

2輸入newuser user.txt 創建用戶

 

 

 

3批量修改密碼，也是在vi里編輯文檔

 

4，編輯完輸入cat pass.txt | chpasswd

 

5.拷貝用戶配置文件

 

二．修改用戶的屬性usermod

usermod[OPTION] login

-u UID: 新UID

-g GID: 新基本組

-G GROUP1[,GROUP2,…[,GROUPN]]]：新附加組，原來的附加組將會被覆蓋；若保留原有，則要同時使用-a選項，表示append；

-s SHELL：新的默認SHELL；

-c 'COMMENT'：新的注釋信息；

-d HOME: 新家目錄不會自動創建，原家目錄中的文件不會同時移動至新的家目錄；若要創建新家目錄并移動原家數據，同時使用-m選項

-l login_name: 新的名字；

-L: lock指定用戶,在/etc/shadow 密碼欄的增加!

-U: unlock指定用戶,將/etc/shadow 密碼欄的! 拿掉

-e YYYY-MM-DD: 指明用戶賬號過期日期；

-f INACTIVE: 設定非活動期限；

-aG是創建附加組的(不加a 是清空原有組)

-G” “ 用戶名：是清除附加組

三．刪除用戶

1.userdel  用戶名：是刪用戶的。但是家目錄不會刪

2.Userdel -r :可以刪除家目錄

四．Id查看用戶的相關ＩＤ信息

id [OPTION]… [USER]

-u: UID

-g: GID

-G: Groups

-n: Name

五．Su 切換用戶或其他用戶身份執行命令

例如：

su 用戶名：非登錄式切換，即不會讀取目標用戶的配置文件，不改變當前工作目錄

Su – 用戶名：登錄式切換，會讀取目標用戶的配置文件，切換至家目錄，完全切換

注意：root 下su切換至其他用戶無須密碼；非root用戶切換時需要密碼。退出必需用exit，不可以在切。

或著用，su -root -c ‘命令’，意思是以root的身份執行一條命令，執行完自動退出。

六．設置密碼passwd

1.passwd[OPTIONS] UserName: 修改指定用戶的密碼，僅root用戶權限

或：echo 用戶名：密碼 | chpasswd

2.passwd: 修改自己的密碼；

常用選項：

-l:鎖定指定用戶

-u:解鎖指定用戶 后邊加-f 可以強行解鎖成空口令

-e:強制用戶下次登錄修改密碼

-n mindays: 指定最短使用期限

-x maxdays：最大使用期限

-w warndays：提前多少天開始警告

-iinactivedays：非活動期限；

–stdin：從標準輸入接收用戶密碼；

七．修改用戶密碼策略chage

1.Chage -l 用戶名，顯示指定用戶的密碼策略。

2.不加選項chage 名字,可以交互式更改指定用戶的策略。

或著：chage-m 0 –M 42 –W 14 –I 7 tom

     chage-E 2016-09-10 tom 

3.chage -d 0 用戶名，是下次登錄強行重設密碼。

八．創建組groupadd

1.-g GID:指明GID

2.-r創建系統組

九.更改和查看組成員

1.-g, –group groupname更改為指定組

2.groupmems -l -g 組名。顯示組成員列表。誰把我當輔助組

3.groupmems -a 用戶名 -g 組名。加指定用戶到組

4.groupmems -d 用戶名 -g 組名。刪除指定用戶

5.groupmems -p -g 組名.刪除全部用戶，清空。

6.groups [OPTION].[USERNAME] 查看用戶所屬組列表

十.更改組密碼 gpasswd

1.gpasswd[OPTION] GROUP

-a user: 將user添加至指定組中；

-d user: 從指定組中移除用戶user

-A user1,user2,…: 設置有管理權限的用戶列表

2.newgrp命令：臨時切換基本組；

如果用戶本不屬于此組，則需要組密碼

 

十一．組屬性修改：groupmod

１.修改組名和新的ＧＩＤ

　例：groupmod -n 新的組名 -g 新的GID

2.刪除組groupdel

例：groupdel  組名